设置磁盘和 VM 模板以部署受防护的 VM

在 System Center Virtual Machine Manager（VMM）计算构造中使用已签名的虚拟机硬盘（VHDX）和 VM 模板（可选）部署受防护的虚拟机。 本文介绍如何将签名的模板磁盘添加到 VMM、配置防护实用工具磁盘、部署受防护的新 VM，以及如何将现有 VM 转换为 VMM 中受防护的 VM。

开始之前

• 用于创建受防护的 VM 模板的已签名模板磁盘必须标记系列和版本。
• 要向其添加已签名模板磁盘的 VMM 库必须可供要从中预配受防护的 VM 的云访问。
• 应将共享的库添加到将预配受防护的 VM 的云中（不在只读模式下）。

将受防护 VM 的签名模板磁盘添加到 VMM 库

可以通过两种方式部署受防护的 VM：直接从已签名的模板磁盘进行部署，或者将现有 VM 转换为受防护的 VM。

签名的模板磁盘可确保租户未修改磁盘内容，并使租户能够以加密方式安全地将部署机密（如管理员密码和证书）传输到 VM。 因此，最好从已签名的模板磁盘部署受防护的 VM。

若要准备签名的模板磁盘并将其添加到 VMM 库，请完成以下步骤：

1. 在运行 Windows Server 2025 或 2022 或 2019 且具有桌面体验的计算机上准备签名的模板磁盘，或者安装了远程服务器管理工具的 Windows 10 或 Windows 11。

2. 复制模板磁盘到库共享（默认情况下为 \\<vmmserver>\MSSCVMMLibrary\VHDs），并刷新库服务器。

3. 若要向 VMM 提供模板磁盘上的操作系统信息，在“库”中，右键单击该磁盘 >“属性”。

4. 在 操作系统中，选择安装在磁盘上的操作系统。 这向 VMM 表示 VHDX 不为空。 磁盘名称旁边的盾牌图标表示为受防护 VM 的签名模板磁盘。 提供有关磁盘系列和释放的信息，以及使资源在租户 Azure Pack 自助服务门户中可用（可选）。

   

5. 选择“确定”保存已签名模板磁盘的属性。

创建受防护的 VM 模板

可以选择使用已签名的模板磁盘创建受防护的 VM 模板。 VM 模板定义虚拟机资源，例如 OS 磁盘的 CPU 计数、RAM 和网络。

受防护 VM 的模板与常规 VM 模板略有不同。 某些设置是固定的;例如，VM 必须是启用了安全启动的第 2 代 VM。 按如下所示创建 VM 模板：

1. 选择“库>创建 VM 模板”。 在 “选择源”中，选择“使用现有 VM 模板”或“库 >浏览”中存储的虚拟硬盘。
2. 选择签名的模板磁盘，指定模板名称和可选说明，然后选择“ 确定”。
3. 在 “配置硬件”中，指定从模板创建的 VM 的硬件属性。 确保至少有一个 NIC 已配置并可用。 租户通过远程桌面连接、Windows 远程管理或其他需要网络的远程管理工具连接到受防护的 VM。
4. 如果要在租户池中使用静态 IP 寻址，则需要让租户知道。 租户需要提供一个包含值的应答文件，该文件专门为它们提供受防护的 VM。 支持静态 IP 池需要一些特殊的已知占位符值。
5. 在 “配置操作系统”中，指定 OS 版本、计算机名称、产品密钥和时区。 租户提供安全信息，例如防护数据文件中的管理员密码（）。PDK，在预配新 VM 时会提供它们。 如果指定产品密钥，请确保它对模板磁盘上的操作系统有效。 如果没有，VM 将无法成功预配。 创建 VM 模板后，请确保它可供租户管理员用户角色使用。 然后，租户可以使用它来预配新的 VM。

配置防护帮助程序 VHD

现有 Windows VM 还可以使用防护帮助程序 VHD 转换为受防护的 VM。 帮助程序 VHD 是一个特殊的磁盘，准备有工具加密另一个 VM 的操作系统驱动器。 必须先使用帮助程序 VHD 配置 VMM，然后才能屏蔽现有 VM。

1. 在运行 Windows Server 2019 或更高版本或安装了远程服务器管理工具的 Windows 10/11 计算机上准备帮助程序 VHD。

1. 将帮助程序 VHD 复制到库共享，并刷新库服务器。
2. 在 VMM 控制台中，选择“设置>主机保护者服务设置”。
3. 在“防护帮助程序 VHD”部分中，从 库共享中的文件列表中选择“浏览 ”并选择帮助程序 VHD。
4. 选择“完成”保存配置。

配置防护帮助程序 VHD 后，可以继续 保护现有 VM。

后续步骤

查看 预配受防护的 VM ，了解如何在 VMM 计算构造中部署受防护的虚拟机。